jeudi 16 avril 2009

Le premier botnet constitué d'ordinateurs Apple

Des chercheurs de l'entreprise Symantec viennent de communiquer sur un programme malicieux qui serait le premier à cibler les ordinateurs produits par Apple. Ce problème avait déjà été signalé en février dernier par une entreprise plus petite (et moins versée dans l'art des relations publiques?), mais il semble que certains médias ont mis du temps à réagir. Celui-ci est installé sur les machines des utilisateurs qui téléchargent des copies piratées des logiciels iWork09 et Adobe Photoshop CS4 sur les réseaux de pairs à pairs. Le concepteur du logiciel malicieux a tout simplement "greffé" son programme sur les deux applications concernées, dont il avait auparavant téléchargé les versions d'évaluation.

Ce botnet serait commandé par un individu différent de celui qui l'aurait conçu selon le bon vieux principe de la division du travail, et s'il est encore difficile d'évaluer le nombre de zombies qui le composent, il aurait déjà été utilisé dans le cadre d'une attaque par déni de service contre le site Internet dollarcardmarketing.com

Un détail intéressant: l'un des premiers blogueurs à avoir identifié cette attaque a été lui-même victime de ce logiciel malfaisant, et a admis avoir utilisé une version non authentifiée de iWork. Aujourd'hui programmeur, il indique avoir par le passé dirigé une équipe technique dans une entreprise spécialisée dans la lutte contre les attaques par déni de service! Même parmi les "professionnels de la sécurité", les pratiques spontanées d'utilisation semblent aller à contre-courant des précautions élémentaires, comme le fait de ne jamais télécharger de logiciels dont la provenance ne peut être établie avec certitude.

Les nouvelles méthodes des pirates informatiques pour s'emparer des codes secrets des cartes de paiement

Un article de Wired décrit l'apparition de nouvelles méthodes utilisées par les pirates informatiques pour s'emparer de grandes quantités de codes secrets de cartes de débit et de crédit. Le procédé repose sur l'interception de ces codes lors de leur transmission entre les distributeurs automatiques de billets et les serveurs des institutions financières émettrices et intermédiaires. Les codes secrets encryptés ne semblent par ailleurs pas épargnés, dans la mesure où les pirates exploitent les failles associées au paramétrage défaillant des équipements qui permettent de crypter les transactions financières (plus de détails sur ces modules de sécurité HSM vendus par la société Thalès ici). S'il semble que les machines sont configurées de manière absolument sûre lors de leur livraison, le besoin d'assurer leur compatibilité avec les équipements vendus par d'autres fournisseurs ainsi qu'avec les spécificités de chaque système bancaire national conduisent à ces erreurs. D'autres pirates ont développé une approche qui leur permet de siphonner les codes secrets pendant les quelques instants où ils sont stockés de manière non-cryptée sur les serveurs des banques afin d'autoriser la transaction.

S'il est confirmé, le saut qualitatif effectué par les fraudeurs leur permettrait d'accéder à un volume beaucoup plus important de données personnelles à très forte valeur ajoutée que ce que leur permet actuellement la fraude individualisée par skimming ou phishing. Par ailleurs, il sera plus difficile aux victimes de prouver leur bonne foi dans les cas de retraits d'espèces résultant de l'obtention frauduleuse du code secret, et il reste à voir dans quelle mesure les institutions financières joueront la transparence avec leurs clients.

mardi 7 avril 2009

Le Pentagone aurait dépensé 100 millions de dollars pour se défendre contre les cyberattaques

C'est ce qu'ont révélé deux généraux américains lors d'une conférence hier. La somme de 100 millions de dollars couvre seulement la période des 6 derniers mois, et inclut les dépenses en main d'oeuvre et en équipement associées aux réponses à ces attaques ainsi que la remise en état des réseaux.

Ce chiffre de 100 millions semble étrangement bien formaté pour frapper les esprits et être repris dans de nombreux articles, surtout à une période où le secrétaire américain à la défense vient d'annoncer d'importantes coupes budgétaires dans les programmes d'armement. D'un autre côté, le Pentagone est certainement l'une des cibles les plus tentantes pour les pirates débutants comme pour les cyberespions chevronnés.


lundi 6 avril 2009

Quel est le profil des prédateurs sexuels sur Internet?

Le Crime Against Children Research Center de l'Université du New Hampshire aux USA vient de publier les résultats de son étude longitudinale sur le profil des pédateurs sexuels arrêtés par la police aux États Unis en 2006 (la première étude avait été menée en 2001). Les données proviennent directement des enquêteurs qui ont procédé aux arrestations, ce qui constitue un excellent exemple de collaboration entre chercheurs et praticiens, et permet de produire des connaissances nouvelles qui permettent de discréditer un certain nombre de mythes sur la dangerosité de l'Internet pour les enfants et les adolescents.

Parmi les résultats les plus intéressants:

  • Entre 2000 et 2006, le nombre de prédateurs arrêtés qui avaient sollicité des mineurs en ligne afin de les convaincre d'avoir des rapports sexuels a augmenté de 21%, alors que le nombre de prédateurs arrêtés après avoir contacté des policiers se faisant passer pour des mineurs a augmenté de 381%. Cela semble indiquer que les organisations policières nord américaines sont très actives, et mêmes proactives, dans ce domaine. En effet, pendant la même période, le nombre total d'arrestations pour abus sexuels commis contre des mineurs diminuait de 10%.
  • Les arrestations de prédateurs sexuels en ligne représentent seulement 1% de l'ensemble des arrestations pour abus sexuels de mineurs, et la majorité des victimes d'abus sexuels ont toujours plus à craindre des membres de leur famille ou de leur entourage que d'inconnus rencontrés sur Internet.
  • Dans l'immense majorité des arrestations impliquant des victimes mineures, les victimes avaient plus de 13 ans (95%), elles étaient informées des attentes des prédateurs, et seulement 5% des rencontres impliquaient des violences imposées aux victimes (et 2% des enlèvements). Cela confirme les résultats de 2001 selon lesquels les victimes étaient en grande majorité des participantes informées prenant une part active aux abus sexuels, et que la nature de l'abus reposait majoritairement sur l'incapacité légale de fournir un consentement éclairé.
  • Contrairement à une crainte couramment répandue, les sites de réseaux sociaux ne semblent pas exposer les adolescents à du harcèlement ou des enlèvements facilités par les informations personnelles mises en ligne.
  • La plupart des prédateurs sont des hommes (99%) blancs (84%) qui n'ont jamais été arrêtés auparavant pour des crimes contre des mineurs (90% pour ceux impliquant des victimes mineures et 97% pour ceux arrêtés par des policiers prétendant être des mineurs). Il semble donc que les efforts imposés aux sites de réseaux sociaux afin d'éliminer de leurs fichiers les personnes déjà condamnées pour des abus sexuels contre des mineurs soient relativement inutiles et consistent principalement en un exercice incontournable de relations publiques.
  • Un changement notable concerne le rajeunissement des suspects, dont 40% sont âgés de 18 à 25 ans contre 23% en 2001. Cette augmentation ne correspond pas à une augmentation générale des arrestations pour abus sexuels dans cette tranche d'âge et peut s'expliquer soit par de nouvelles pratiques déviantes qui se manifestent d'abord en ligne chez cette génération, soit par l'effacement des frontières de socialisation sexuelle entre jeunes adultes âgés de 13 à 25 ans.
Outre la réussite des organisations policières dans la lutte contre les prédateurs sexuels que cette étude semble indiquer, une approche renouvelée dans la conception des programmes de prévention destinés aux adolescents paraît indispensable. Au lieu de mettre l'accent sur des risques de violence, de viol et d'enlèvement qui semblent marginaux, les campagnes de sensibilisation s'adressant aux jeunes devraient plutôt décourager ceux-ci d'échanger des propos et des images sexuellement explicites avec des inconnus, de se lancer dans des relations amoureuses et sexuelles avec des adultes, et les sensibiliser aux interdictions légales entourant de telles rencontres. 

vendredi 3 avril 2009

Le cybercrime est-il devenu plus profitable que le trafic de drogue?

C'est ce qu'a affirmé devant un comité du sénat américain Edward Amoroso, chef de la sécurité du géant des télécommunications AT&T. Dans la restranscription de son audition (qui exclut une erreur de ce dernier qui aurait pu facilement être corrigée), celui-ci déclare en effet:
L'an dernier, le FBI a annoncé que les revenus de la cybercriminalité ont
détroné pour la première fois le trafic de drogue comme activité illicite la
plus profitable au niveau mondial, en estimant que les profits annuels illicites
dans ce domaine s'élevaient à 1000 milliards de dollars (one trillion dollars) (ma traduction).

Cette information a aussitôt été reprise telle quelle dans de nombreux médias (Vnunet, Public Technology, Le Monde Numérique, ZDNet, etc...), un rapport de la société Finjan étant venu entre-temps étayer de tels chiffres. Celui-ci extrapole à partir des gains criminels d'une opération de fraude particulièrement réussie qui rapporte à ses auteurs environ 10.000 dollars par jour, et assume qu'il existe des milliers d'opérations similaires dans le monde sans aucune base factuelle (ça pourrait tout aussi bien être des dizaines ou des millions).

Le problème est qu'évidemment, quand on examine ces chiffres avec un regard un peu plus critique que celui des marchands de peur, on se rend bien compte de leur improbabilité. Car comme le fait remarquer le blogeur Richard Stennion, cela impliquerait que le cybercrime génère des profits supérieurs à ceux de l'industrie informatique ou des cinq plus grosses entreprises américaines. Cela représente aussi le double du PIB de l'Arabie Saoudite et de son océan de pétrole! Le site The Register a établi la généalogie de cette légende urbaine et l'a faite remonter à 2005, où une consultante du FBI lançait à un journaliste que le cybercrime venait de dépasser le trafic de drogue avec des revenus annuels de 105 milliards de dollars. Depuis, tel le monstre du Loch Ness, elle refait surface de temps à autres.

Mais en ces temps de récession économique mondiale et de plans de relance astronomiques, à moins de 1000 milliards, on n'arrive plus vraiment à attirer l'attention des journalistes et des politiciens! C'est regrettable car même s'il n'atteint pas (et n'atteindra certainement jamais) de telles proportions, le problème de la cybercriminalité est bien réel et crée chaque jour de nombreuses victimes individuelles et organisationnelles qui méritent un traitement moins sensationnaliste.


Photos de distributeurs de billets piégés par des fraudeurs

Le site Zataz a mis la main sur deux séries de photos très informatives (ici et ici) qui montrent les moyens techniques utilisés par des fraudeurs français pour cloner des cartes de débit ou de crédit introduites dans des distributeurs automatiques de billets. Les photos sont d'origine française, mais la technique est universelle.


On y voit qu'il est de plus en plus difficile pour l'usager lambda d'identifier la présence de tels kits sur des distributeurs où tout semble normal et "propre", ainsi que la présence de caméras qui peuvent capturer les codes secrets des clients et les transmettre par le biais de téléphones cellulaires.

mercredi 1 avril 2009

Un nouveau projet de loi sur la cybersécurité aux USA

Selon le Washington Post, plusieurs sénateurs américains influents s'apprêtent à présenter dès aujourd'hui un projet de loi qui étendrait  considérablement les pouvoirs du gouvernement fédéral en matière de sécurité de l'information. Ce projet aurait notamment pour objet de permettre au gouvernement de définir des standards de sécurité minimaux devant être mis en oeuvre aussi bien par les services gouvernementaux que par le secteur privé. Le gouvernement se verrait ainsi doté de nouveaux pouvoirs réglementaires afin de contraindre les entreprises à respecter ces nouvelles normes.

Le secteur privé a déjà fait preuve de ses réticences, en avançant l'argument du gel de l'innovation qu'une approche aussi centralisée impliquerait. Cependant, au vu des problèmes actuels, on ne peut pas dire que le laisser-faire produit des résultats très convaincants.

Si une telle loi était votée, ce qui est de toute évidence loin d'être le cas, la question de savoir quelle agence se verrait confiée la responsabilité de la faire appliquer se poserait alors. Alors que les promoteurs du projet de loi semblent pencher en faveur d'un nouveau poste de "tsar de la cybersécurité" basé à la Maison Blanche, il semble que la grande famille du renseignement place déjà ses pions, puisque le Directeur du renseignement Dennis Blair proposait la semaine dernière que la NSA supervise les efforts publics et privés en matière de cybersécurité aux États Unis. Il aura bien du mal à convaincre ses interlocuteurs du caractère désintéressé d'une telle proposition, notamment en matière de recueil de renseignements privés.